Deshabilitación de un control en un estándar específico - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación de un control en un estándar específico

Puede deshabilitar un control solo en estándares de seguridad específicos, en lugar de en todos los estándares. Si el control se aplica a otros estándares habilitados, AWS Security Hub Cloud Security Posture Management (CSPM) seguirá realizando comprobaciones de seguridad para el control y usted seguirá recibiendo los resultados del control.

Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados a los que se aplica el control. Para obtener información sobre cómo deshabilitar un control en todos los estándares a los que se aplica, consulte. Deshabilitar un control en todos los estándares

En la página de detalles de los estándares, también puede desactivar los controles de un estándar específico. Debe deshabilitar los controles de normas específicas por separado en cada una Cuenta de AWS y Región de AWS. Al deshabilitar un control en normas específicas, solo afecta a la cuenta corriente y a la región.

Elija el método que prefiera y siga estos pasos para deshabilitar un control en uno o más estándares específicos.

Security Hub CSPM console
Deshabilitación de un control en un estándar específico
  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. Elija Estándares de seguridad en el panel de navegación. Seleccione Ver resultados para el estándar correspondiente.

  3. Seleccione un control.

  4. Seleccione Desactivar el control. Esta opción no aparece en los controles que ya están deshabilitados.

  5. Indique el motivo para deshabilitar el control y confirme seleccionando Deshabilitar.

Security Hub CSPM API
Deshabilitación de un control en un estándar específico
  1. Ejecute ListSecurityControlDefinitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute DescribeStandards. Esta API devuelve un control de seguridad independiente del estándar IDs, no un control específico del estándar. IDs

    Ejemplo de solicitud:

    { "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" }
  2. Ejecute ListStandardsControlAssociations y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

    Ejemplo de solicitud:

    { "SecurityControlId": "IAM.1" }
  3. Ejecute BatchUpdateStandardsControlAssociations. Proporcione el ARN del estándar en el que desea deshabilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

    Ejemplo de solicitud:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] }
AWS CLI
Deshabilitación de un control en un estándar específico
  1. Ejecute el comando list-security-control-definitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute describe-standards. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
  2. Ejecute el comando list-standards-control-associations y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  3. Ejecute el comando batch-update-standards-control-associations. Proporcione el ARN del estándar en el que desea deshabilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'